보안

"버그 포상금 높아지고, 각 산업군으로 확산 추세"...버그크라우드의 2016 버그 포상금 실태 보고서

Ms. Smith | Network World 2016.06.14
2015년, 버그 포상금 시장은 사이버 공격 증가와 "상당한 보안 인력 부족"으로 인해 버그 포상금 프로그램들이 성장할 수 있었고, 주로 IT 대기업들이 프로그램을 제공하던 상황을 벗어나 전통적인 산업으로 다각화되었다.

최근 발행된 '2016 버그 포상금 실태 보고서'는 지난 해, 지불금이 증가하는 추세로 나타났다고 밝혔다. 지난 해, 버그크라우드(Bugcrowd) 플랫폼의 평균 버그 포상금은 200.81달러였으며, 이번으로 두 번째인 연례 보고서에서는 47% 증가를 기록해 평균 보상금이 294.70달러까지 상승했다.

버그크라우드에 따르면 DVPM(Defensive Vulnerability Pricing Model) 가이드를 발행한 이래로 2016년 1분기 평균 버그 지불금이 505.79달러로 최고치를 기록했다.

업계의 버그 포상금 프로그램
IT 업체들만이 버그 포상금 프로그램을 제공한 것이 아니었다. 지난 해, 소매와 전자상거래뿐만 아니라 금융 서비스 및 은행 업종에서도 버그 포상금 프로그램이 증가했다.

금융 및 은행 산업 부문은 프라이빗 프로그램을 운영하는 경향이 있으며, 이는 버그크라우드의 취약점 공개 프로그램 산업 세부사항과 모든 공개 버그 포상금 프로그램 사이의 차이를 설명하는데 도움이 된다.



Credit: Bugcrowd

이 보고서에서는 "전반적으로 금융 서비스 및 은행, 자동차, 의료, 교육, 통신, 병원, 부동산, 유틸리티, 소비재 등 더욱 '전통적인' 산업의 조직들이 연 평균 217%의 성장률을 기록했다"고 밝혔다.

그럼에도 불구하고 버그크라우드의 보고서는 "버그 포상금 시장이 빠르게 성장하고 있지만, 최근 포브스(Forbes) 2,000대 기업 목록의 기업 가운데 94%가 현재 취약점 공개 또는 버그 포상금 프로그램이 없다고 밝힌 연구 보고서에서 볼 수 있듯이 갈 길이 아직 멀다"고 밝혔다.

버그크라우드 플랫폼에서 직원 5,000명 이상의 대기업들의 경우, 지난 해 가장 빠르게 성장했지만 이런 기업들이 버그 포상금을 지원하는 기업들의 대부분을 차지하는 것은 아닌 것으로 나타났다.


Credit: Bugcrowd

수퍼 헌터의 등장
수천 달러를 벌고 때로는 버그 바운티(Bug bounty)를 전업으로 하는 연구원들인 "수퍼 헌터(Super hunters)"가 등장했다. 이 보고서는 "소득 순위 10위 안에 드는 연구원들이 총 지불금의 23%를 차지했다"고 밝혔다.

일부 소규모 지역의 연구원들이 크게 성공한 결과가 모든 국가에까지 미치고 있는 것이다. 대부분의 연구원들은 85%가 취미 또는 아르바이트로 버그 포상금 프로그램에 참여하고 있으며 70%는 버그 사냥에 주당 10시간 미만을 소요하고 있다.

프라이빗 버그 포상금 프로그램
어떤 연구원이든 공개 버그 포상금 프로그램에 참여할 수 있지만 전체 프로그램의 63%는 프라이빗이며 최고의 연구원들을 유입시키기 위해 더 높은 포상금을 지불하고 있다.

기업들은 이런 프로그램을 프라이빗으로 시작할 수 있으며 연구원들은 참여 초청이 필요하지만 대부분의 프로그램은 결국 공개화될 것이다.

버그크라우드는 자체 프라이빗 프로그램에 초대받기 위해서는 "연구원들이 신뢰성, 경쟁률, 전체적인 제출 품질, 발견 중요성, 활동 등 모든 부문에서 반드시 높은 점수를 기록해야 한다"고 밝혔다.

XSS와 CSRF, 보고된 최고의 버그
지난 해, 중차대한 영향력을 끼치는 취약점이 많이 증가하기 했지만, XSS(Cross-Site Scripting)가 여전히 가장 많이 발견되는 취약점 유형이며, CSRF(Cross-Site Request Forgery)는 두 번째로 많이 보고된 취약점이다.


Credit: Bugcrowd

버그 헌터(Bug hunters)는 누구인가
취약점을 찾고 보고해 수익을 얻는 버그 헌터는 누구일까? 버그크라우드는 연구원 계정이 2만 6,000개 이상이며 총 112개국 출신으로, 인도(43%)와 미국(13%)이 가장 많은 부분을 차지한다고 밝혔다. 이 연구원들의 약 75%는 18~29세다. 19%는 30~44세다. 88%는 최소한 1년 동안 대학을 다녔으며 55%는 학사 또는 대학원 학위를 보유하고 있다.

국가 별로 보고된 버그 유형
다음과 같은 그래프는 분류되지 않은 버그를 제외하고 국가 별로 "유효한 제출' 버그 유형 상태를 나타내고 있다.


Credit: Bugcrowd

버그크라우드 CEO 케이시 엘리스는 "2015년에는 기업들이 사이버 보안과 관련해 같은 수준을 유지하기 위한 고통이 변화의 고통보다 크다는 사실을 깨달았다. 이로 인해 기업들은 적들과 싸울 수 있는 유일한 방법이 연합군이라는 사실을 깨달았다. 심지어 위험을 기피하는 산업부문도 크라우드소싱된 사이버 보안 프로그램을 도입하여 성공적으로 이행하고 있다. 이런 성장이 오늘날의 현실을 대변하고 있다"며, "버그 포상금 프로그램 같은 분산된 자원 확보 접근방식은 상대방과 대등하게 싸울 수 있는 최고의 도구다"라고 말했다.

해당 보고서의 출처는 여기를 클릭하면 확인할 수 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.